HijackThis log wegen W32.spybot.worm
4 Beiträge • Seite 1 von 1
HijackThis log wegen W32.spybot.worm
von die_mimi am 21.01.2005, 11:09
huhu!
norton sagt mir seit gestern dass mein pc die würmer namens sdkhj.exe und ebcx.exe hat, der zugriff aber natürlich verweigert wurde... (ich weiß es gibt unendlich viele namen für nen w32.spybot.worm)...
hab jetzt hier im forum gestöbert, mir HijackThis 1.99 runtergeladen und nen scan gemacht...
ich hoffe ihr könnt mir daran erklären was ich machen soll, aber bitte für anfänger, mit den meisten beschreibungen konnte ich nicht wirklich viel anfangen
Logfile of HijackThis v1.99.0
Scan saved at 10:00:08, on 21.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Creative\News\NewsUpd.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\sdkhj.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\scvhost.exe
C:\Dokumente und Einstellungen\mimi\Eigene Dateien\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [RSPC Driver D] sdkhj.exe
O4 - HKLM\..\Run: [RSPC Driver] ebcx.exe
O4 - HKLM\..\Run: [Windows System File] scvhost.exe
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\RunServices: [RSPC Driver D] sdkhj.exe
O4 - HKLM\..\RunServices: [RSPC Driver] ebcx.exe
O4 - HKLM\..\RunServices: [Windows System File] scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows System File] scvhost.exe
O4 - HKCU\..\Run: [RSPC Driver D] sdkhj.exe
O4 - HKCU\..\Run: [RSPC Driver] ebcx.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{789BD52A-E5C2-4B8F-9A3E-5A5CD9C2BAFA}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
danke schonmal!!!
norton sagt mir seit gestern dass mein pc die würmer namens sdkhj.exe und ebcx.exe hat, der zugriff aber natürlich verweigert wurde... (ich weiß es gibt unendlich viele namen für nen w32.spybot.worm)...
hab jetzt hier im forum gestöbert, mir HijackThis 1.99 runtergeladen und nen scan gemacht...
ich hoffe ihr könnt mir daran erklären was ich machen soll, aber bitte für anfänger, mit den meisten beschreibungen konnte ich nicht wirklich viel anfangen
Logfile of HijackThis v1.99.0
Scan saved at 10:00:08, on 21.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Creative\News\NewsUpd.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\sdkhj.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\scvhost.exe
C:\Dokumente und Einstellungen\mimi\Eigene Dateien\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [RSPC Driver D] sdkhj.exe
O4 - HKLM\..\Run: [RSPC Driver] ebcx.exe
O4 - HKLM\..\Run: [Windows System File] scvhost.exe
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\RunServices: [RSPC Driver D] sdkhj.exe
O4 - HKLM\..\RunServices: [RSPC Driver] ebcx.exe
O4 - HKLM\..\RunServices: [Windows System File] scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows System File] scvhost.exe
O4 - HKCU\..\Run: [RSPC Driver D] sdkhj.exe
O4 - HKCU\..\Run: [RSPC Driver] ebcx.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{789BD52A-E5C2-4B8F-9A3E-5A5CD9C2BAFA}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
danke schonmal!!!
- die_mimi
- Beiträge: 2
- Registriert: 21.01.2005, 10:45
Re: HijackThis log wegen W32.spybot.worm
von Yourhighness am 24.01.2005, 18:37
Hi Mimi!
Dann
[url=http://www.bsi.bund.de/av/texte/wiederher_xp.htm]Systemwiederherstellung abstellen in Win XP & abgesicherten
modus[/url]
Deaktiviere oder deinstalliere gleich den Symantec( er funktioniert nicht mehr)
lade:
#Testversion "Antivirus Personal 5.0"
http://www.computerbase.de/downloads/so ... nti-virus/
Kaspersky-Antivirus-Final 5.0 [(Deutsch,10.062 KB, Windows)]
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [RSPC Driver D] sdkhj.exe
O4 - HKLM\..\Run: [RSPC Driver] ebcx.exe
O4 - HKLM\..\Run: [Windows System File] scvhost.exe
O4 - HKLM\..\RunServices: [RSPC Driver D] sdkhj.exe
O4 - HKLM\..\RunServices: [RSPC Driver] ebcx.exe
O4 - HKLM\..\RunServices: [Windows System File] scvhost.exe
O4 - HKCU\..\Run: [Windows System File] scvhost.exe
O4 - HKCU\..\Run: [RSPC Driver D] sdkhj.exe
O4 - HKCU\..\Run: [RSPC Driver] ebcx.exe
PC neustarten-->in den abgesicherten Modus
Mache einen Komplettscann mit kaspersky
gehe wieder in den Normalmodus
scanne noch mal mit kaspersky und poste das neue Log vom HijackThis
Dann
[url=http://www.bsi.bund.de/av/texte/wiederher_xp.htm]Systemwiederherstellung abstellen in Win XP & abgesicherten
modus[/url]
Deaktiviere oder deinstalliere gleich den Symantec( er funktioniert nicht mehr)
lade:
#Testversion "Antivirus Personal 5.0"
http://www.computerbase.de/downloads/so ... nti-virus/
Kaspersky-Antivirus-Final 5.0 [(Deutsch,10.062 KB, Windows)]
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [RSPC Driver D] sdkhj.exe
O4 - HKLM\..\Run: [RSPC Driver] ebcx.exe
O4 - HKLM\..\Run: [Windows System File] scvhost.exe
O4 - HKLM\..\RunServices: [RSPC Driver D] sdkhj.exe
O4 - HKLM\..\RunServices: [RSPC Driver] ebcx.exe
O4 - HKLM\..\RunServices: [Windows System File] scvhost.exe
O4 - HKCU\..\Run: [Windows System File] scvhost.exe
O4 - HKCU\..\Run: [RSPC Driver D] sdkhj.exe
O4 - HKCU\..\Run: [RSPC Driver] ebcx.exe
PC neustarten-->in den abgesicherten Modus
Mache einen Komplettscann mit kaspersky
gehe wieder in den Normalmodus
scanne noch mal mit kaspersky und poste das neue Log vom HijackThis
- Yourhighness
von die_mimi am 25.01.2005, 01:59
dankeschön erstmal, aber das problem hat sich irgendwie von selbst erledigt 
habe sämtliche updates inklusive service-pack2 installiert und der virus ist verschwunden...
ich weiß zwar nicht wie, aber per privatnachricht wurde mir bestätigt dass die log nun sauber ist... symantec funktioniert übrigens einwandfrei...
habe sämtliche updates inklusive service-pack2 installiert und der virus ist verschwunden...
ich weiß zwar nicht wie, aber per privatnachricht wurde mir bestätigt dass die log nun sauber ist... symantec funktioniert übrigens einwandfrei...
- die_mimi
- Beiträge: 2
- Registriert: 21.01.2005, 10:45
von Yourhighness am 25.01.2005, 16:06
die_mimi hat geschrieben:dankeschön erstmal, aber das problem hat sich irgendwie von selbst erledigt
habe sämtliche updates inklusive service-pack2 installiert und der virus ist verschwunden...
ich weiß zwar nicht wie, aber per privatnachricht wurde mir bestätigt dass die log nun sauber ist... symantec funktioniert übrigens einwandfrei...
Ja, das hab ich mir fast gedacht. Der Virus ist bei den Antivirus firmen bekannt und meistens schon in den neuesten updates der Software zur Erkennung eingebaut.
Schön das es jetzt alles funzt.
So hab ich auch wat neues gelernt (musst mir ja auch die Infos durchlesen
)....
PS: Danke Nikita für das checken und den Verbesserungen für die Erklärungen...
- Yourhighness
4 Beiträge • Seite 1 von 1
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast